ANTIVIRUSVIRUSI: Sunt microprograme greu de depistat,ascunse in alte programe,care asteapta un moment favorabil pentru a provoca defectiuni ale sistemului de calcul(blocarea acestuia,comenzi sau mesaje neasteptate,alte actiuni distructive). Se poate aprecia ca un virus informatic este un microprogram cu actiune distructiva localizat in principal in memoria interna.CLASIFICARE:1. In forma cea mai generala virusii se impart in: Virusi hardware: mai rar intalniti,acestia fiind de regula, livrati o data cu echipamentul. Virusi software

2. Din punct de vedere al capacitatii de multiplicare,virusii se impart in doua categorii: Virusi care se reproduc,infecteaza si distrug Virusi care nu se reproduc,dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase urme(Worms).

3. In functie de tipul distrugerilor in sistem se disting: Virusi care provoaca distrugerea programului in care sunt inclusi Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul; se manifesta prin incetinirea vitezei de lucru,blocarea tastaturii,reinitializarea aleatorie a sistemului, afisarea unor mesaje sau imagini nejustificate Virusi cu mare putere de distrugere,care provoaca incideante pentru intreg sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului radacina,alterarea integrala si irecuperabila a informatiei existenteIn manualul de utilizare al MS-DOS,Microsoft imparte virusii in trei categorii: Virusi care infecteaza sistemul de boot Virusi care infecteaza fisiere Virusi Cal TroianUltimii sunt acele programe care aparent au o numita intrebuintare,dar sunt inzestrati cu proceduri secundare distructive.

Totusi, o clasificare mai amanuntita a virusilor ar arata astfel: Armati o forma mai recenta de virusi,care contin proceduri ce impiedica dezasamblarea si analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta antidotul (ex: Whale) Autoencriptori inglobeaza in corpul lor metode de criptare sofisticate facand detectia destul de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare( ex: Cascade) Camarazi sunt avantajati de o particularitate a DOS-ului, care executa programele .com inaintea celor .exe. Acesti virusi se ataseaza de fisierele .exe,apoi le copiaza schimband extensia in .com. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. Odata lansat in executie fisierul respectiv,ceea ce se execua nu este fisierul .com, ci fisierul .exe infectat. Acest lucru determina propagarea virusilor si la alte aplicatii Furisati(stealth) acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a crescut,deci este infectat . Exemplu:512,Atheus,Brain, Damage, Gremlin,Holocaust,Telecom Infectie multipla cu cativa ani in urma virusi erau repartizati in doua grupuri bine separate: cei care infectau programele si cei care operau asupra sectorului de boot si a tebelelor de partitii. Virusii cu infectie multipla,mai rcenti, pot contamina ambele tipuri de elemente. Exemplu: Authax, Crazy Eddie,Invader, Malaga,etc Polimorfi sunt cei mai sofisticati dintre cei intalniti pana acum. Un motor de mutatii permite transformarea lor in mii de variante de cod diferite. Exemplu: Andre, Cheeba,Dark Avenger,Phoenix 2000, Maltese Fish,etc Virusi ai sectorului de boot si ai tabelelor de partitii ei infecteaza una si/sau cealalta dintre aceste zone critice ale dischetei sau hard disk-ului. Infectarea sectorului de boot este periculoasa,deoarece la pornirea calculatorului codul special MBP(Master Boot Program) de pe discheta se execuata inainte de DOS. Daca acolo este prezent un virus, s-ar putea sa nu fie reperabil. Tabelele de partitii contin informatii despre organizare structurii discului,ele neputand fi contaminate,ci doar stricate. Majoritatea antivirusilor actuali pot detecta o infectie in MBP,propund,in general, suprimarea MBP-ului si inlocuirea lui cu o forma sanatoasa( de exemplu cum procedeaza Norton Antivirus). Exemplu: Alameda,Ashar,Bloodie,Cannabis,Chaos.

MODUL DE INFECTARE: Mecanismul de contaminare clasic consta in ramanerea rezidenta in memoria interna a secventei purtatoare a virusului, ascunsa intr-un program care se executa. Programul modificat prin actiunea virusului,cu secventa de virus incorporata,este salvat pe discul care a fost lansat, constituind la randul sau un nou purtator de virus. Virusarea este relativ rapida, avand ca efect infectarea tuturor programelo lansate in executie,atata timp cat virusul este rezident in memoria interna. O tehnica mai evoluata de contaminare consta in introducerea secventei de program ce contine virusul,in urma procesului de instalare a unui produs; in momentul instalarii produsului,acestuia i se a adauga instructiuni intr-o secventa ce defineste un cod de virus. Cele mai vulnerabile fisiere sunt fisierele executabile de tip .exe si .com, deoarece acestea contin programele in forma executabila, care se incarca in memoria interna pentru executie,unde se localizeaza initial virusul; de asemenea, pentru a patrunde in zonele protejate ale sistemului, virusul are nevoie de drepturi de acces pe care nu la are, in timp ce programul pe care s-a implantat ii mai gireaza aceste drepturi,fara ca utilizatorul sa aiba cunostiita de acest lucru. PROGRAME ANTIVIRUS: Software-urile antivirus sunt programe de computer care incearca sa Identifice, neutralizeze sau sa elimine software-ul rau. Termenul antivirus este folosit pentru ca cele mai recente exemple construite exclusiv pentru a lupta impotriva virusilor de computer; totusi marea majoritate a software-ului antivirus modern este facut pentru a combate gama larga de amenintari, incluzand viermi,atacuri phishing,rootkits, si Troieni, adesea sunt colectiv descrisi ca malware.SCANNER VIRUS: Software-ul de scanare antivirus, sau un scanner de virusi, este un program care examineaza toate fisierele din locatii specificate, continuturile de memorie, sistemul de operare, registrii, comportamentul imprevizibil al programelor si oriunde este relevant cu intentia de a identifica si inlatura orice malware. In mod obisnuit sunt folosite doua abordari diferite pentru a identifica malware,deseori in combinative, Examinarea(scanarea) fisierelor, etc.,de virusi cunoscuti care se potrivesc cu evidentele dintr-un dictionar de virusi si identificarea comportamentului suspicios din partea oricarui program care ar putea indica infectie. Aceasta abordare este numita analiza heuristic, si poate include captura de date, monitorizarea porturilor si alte metode. Pentru atinge suces consistent pe termen mediu si lung,abordarea dictionarului de virusi necesita frecvent descarcarea de intrari actualizate in dicionarul de virusi. Softwareul antivirus bazat pe dictionar examineaza in mod obisnuit fisierele cand sistemul de operare al computerului creaza,deschide, inchide, sau trimite prin e-mail. In acest fel poate detecta un virus cunoscut imediat ce-l primeste. Administratorii de sistem pot programa software-ul antivirus sa examineze(scaneze) toate fisierele din harddiscul computerului dupa un anumit principiu. Cu toate ca abordarea dictionarului poate efectiv sa descopere virusi in circumstantele potrivite, autorii de virusi au incercat sa fie cu un pas ianintea acelor software-uri scriind virusi oligomorphici,polymorphici si mai nou metamorphici, care encripteaza parti ale lor sau se modifica, ca o metoda de a se deghiza, in asa fel incat sa nu se potriveasca cu semnaturile din dictionarul de virusi. O tehnica inovatoare pentru neutraliza malware in general este whitelisting. In loc sa caute doar malware cunoscut, acesta tehnica previne executarea a tuturor codurilor de computer cu exceptia a celora care au fost inainte identificate ca fiind de incredere de catre administratorul de sistem. Urmand acesta abordare,negarea de la sine, limitarile inascute in pastrarea actualizarii semnaturilor virusilor este evitata. Adtional, aplicatiile de computer care nu sunt dorite de adminstratorul de sistem sunt impiedicate sa pornesca din moment ce ele nu se afla pa whitelist. Din moment ce organizatiile intreprinderilor modern au cantitati mari de aplicatii de incredere, limitarile in adoptarea acestei tehnici stau in abiliatea administratorului de sistem pentru a inventaira si a intretine whitelist-ul aplicatiilor de incredere. Implementari viabile ale acestei tehnici include unelte pentru automatizarea inventarului si intretinerea procesului de whitelist.Comportament suspicios-euristice: Comportamentul suspicios abordeaza, prin contrast, nu incearca sa identifice virusi cunoscuti, dar in schimb monitorizeaza comportamentul tuturor programelor. Daca un program incearca sa scrie date catre un program executabil, de exemplu software-ul antivirus poate semnala acest comportament suspicos , alerta utilizatorul si a-l intreba ce sa faca. Spre deosebire de abordarea dictionarului, abordarea comportamentului suspicios, prin urmare ofera protective impotriva noilor virusi care nu exista inca in dictionarele de virusi. Pe de alta parte , poate de asemenea sa semnaleze un numar mare de alarme false, si utilizatorii probabil devin dezinteresati la toate avertismentele. Daca utilizatorul da click pe acceptpe fiecare dintre avertismente, atunci desigur antivirusul nu-I da nici un beneficu utilizatorului. Acesta problema s-a inrautatit din 1997 de cand mult mai multe proiectari de programe nemalitioaseau aparut pentru a modifica alte fisiere .exe fara a privi aceasta problema falsa pozitiva. Prin urmare, cele mai modern software-uri de antivirus folosesc din ce in ce mai putin acesta tehnica . Emulatiea fisierelor-euristice: Unele softuri antivirus folosesc alte tipuri de analiza euristica. De exemplu, ar putea incerca sa emuleze inceputul codului fiecarui executabil pe care il invoca sistemul inante de a transfera controlul acelui executabil. Daca un program pare sa foloseasca un cod automodificator sau apare ca un virus(daca incerca imediat sa gaseasca alte executabile,de exemplu), se poate presupune ca un virus a infectat executabilul, de altfel aceasta metoda ar putea rezulta in multe alarme false.Sandbox: Inca o metoda de detectare include folosirea unui sandbox. Un sandbox emuleaza sistemul de operare si ruleaza executabile in acesta simulare. Dupa ce programul a terminat, software-ul analizeaza sandboxul pentru orice schimbari care ar putea indica un virus. Din cauza problemelor de performanta, acest tip de detectare are loc in mod normal in timpul scanarii la cerere. Deasemenea acesta metoda ar putea esua din moment ce un virus poate fi nondeterministic si a faca lucruri diferite,incluzand a nu face nimic, de fiecare data este rulat-deci va fi imposibil sa-l detecteze de la o singura rulare. Unele scanere de virusi pot avertiza utilizatorul daca un fisier este predispus la un virus pe baza tipului de fisier. In afara de softul antivirus, prevenirea infectiei poate fi realizata prin alte metode cum ar fi implemntarea unui firewall, sau virtualizarea sistemului. Pe de alta parte numai softurile antivirus sunt facute special pentru prevenirea infectiilor cu virusi cunoscuti.Network Firewall: Firewall-urile nu lasa programele cunoscute si procesele de internet sa aiba acces la sistemul protejat; Nu sunt sisteme antivirus si nu fac nici o incercare in a identifica sau a inlatura ceva, dar protejaza impotriva infectiei si limiteaza activitatea oricarui soft malitios care e prezent prin blocarea cererilor care vin si pleaca inr-un anumit port TCP/IP. De altfel este facut sa se ocupe de amenintarile mari din sistem care vin din retea in sistem. Virtualizarea sistemului: Acesta metoda de avertizare este realizata de fapt de virtualizarea sistemului in lucru, facand asta , actualul sistem se protejeaza de a fi alterat de orice infectie incercata de un virus. De fapt previne orice incercare de alterare al intregului sistem sub virtualizare. Cu toate acestea orice avarie a datei neprotejate (sau nevirtualizate) va ramane.